В январе была зафиксирована новая волна целевых фишинговых рассылок, связанная с деятельностью группировки PhantomCore. По данным специалистов компании F6, 19 и 21 января злоумышленники провели серию масштабных атак на организации из разных сегментов экономики России — от ЖКХ и финансового сектора до аэрокосмической отрасли и крупных маркетплейсов. Под прицел также традиционно попадают компании из Беларуси.
Кто такие PhantomCore и чем они опасны
Группировка PhantomCore активно отслеживается с 2024 года и, по текущим наблюдениям, специализируется именно на атаках против российских и белорусских организаций. Название связывают с использованием пространства имен Phantom в их .NET-инструментах, а также со строкой MicrosoftStatisticCore, которая ранее встречалась в запланированных задачах на скомпрометированных хостах.
PhantomCore выстраивает классическую для современного кибершпионажа цепочку заражения: фишинговое письмо, запуск скрипта PowerShell, закрепление в системе и последующий удаленный контроль. Особенность новой кампании — комбинация LNK-файла и маскируемого под документ DOC архива, что позволяет обходить часть базовых фильтров и вводить пользователей в заблуждение.
Как устроена фишинговая рассылка и цепочка заражения
LNK-файл и подмена DOC-документа
Злоумышленники рассылают письма с темой «ТЗ на согласование», что выглядит правдоподобно для деловой переписки. Во вложении — архив, внутри которого находятся два файла: ярлык LNK и поддельный файл с расширением DOC. На самом деле этот «документ» представляет собой RAR-архив, содержащий документ-приманку: жертве демонстрируется безобидный файл, в то время как основное заражение уже выполнено.
При запуске LNK-файла выполняется команда cmd, которая находит исполняемый файл PowerShell через переменные окружения и загружает первую стадию вредоносного кода. Такой подход помогает обойти простые сигнатурные проверки и использовать встроенные инструменты Windows (техника Living off the Land).
Закрепление в системе через планировщик задач
Скачанный PowerShell-скрипт первой стадии выполняет три ключевые операции: показывает пользователю документ-приманку, загружает в память следующую фазу малвари и прописывает себя в планировщике задач Windows. Созданная задача запускается сразу после добавления в систему и далее — каждые 61 секунду, а также в начале каждого нового дня.
Такой интервал и схема запуска обеспечивают постоянное присутствие вредоносного кода в системе, даже при перезагрузках и попытках локальной очистки. Для администратора это усложняет выявление аномальной активности, особенно если не используется централизованный аудит и мониторинг задач планировщика.
Функциональность PowerShell-бэкдора PhantomCore
Вторая стадия представляет собой PowerShell-скрипт, практически идентичный известному ранее варианту PhantomCore.PollDL (PhantomeRemote). После запуска бэкдор устанавливает связь с управляющим сервером (C2), отправляя запрос GET с передачей уникального идентификатора устройства (UUID), имени компьютера и доменного имени.
В ответ сервер возвращает команду в формате cmd:{команда}|{id_команды}. Полученная инструкция исполняется через PowerShell-функцию Invoke-Command, а результаты ее выполнения отправляются обратно уже запросом POST. В актуальной версии вредоноса реализована только поддержка типа команд cmd, хотя ранее фиксировалась и команда download, позволяющая выгружать файлы на зараженную систему.
Таким образом, PhantomCore по сути разворачивает на скомпрометированном хосте удаленный командный интерфейс, который может использоваться как для разведки внутри инфраструктуры, так и для последующих атак — например, развертывания дополнительного вредоносного ПО или инструментария для lateral movement.
Компрометированная инфраструктура и признаки атаки
В ходе анализа эксперты F6 выявили несколько ресурсов, используемых в качестве хостинговой площадки для вредоносных скриптов. Среди них: ink-master[.]ru, spareline[.]ru, shibargan[.]ru, act-print[.]ru, metelkova[.]ru, mistralkorea[.]ru и ast-automation[.]ru. Наличие обращений к этим доменам может служить важным индикатором компрометации (IOC) для систем мониторинга и SOC-аналитиков.
Отправка вредоносных писем также велась с адресов, принадлежащих, судя по всему, легитимным российским компаниям: npocable-s[.]ru, satnet-spb[.]ru, nppntt[.]ru, tk-luch[.]ru, skbkp.tarusa[.]ru. Это указывает на вероятную компрометацию их почтовой инфраструктуры или учетных записей. Использование реальных доменов повышает доверие к сообщениям и значительно увеличивает шансы успешного открытия вложений сотрудниками.
Рекомендации по защите от атак PhantomCore
Для снижения риска успешной атаки PhantomCore и аналогичных кампаний целесообразно реализовать комплексный подход к защите почтовой и конечной инфраструктуры. Ключевые меры включают:
1. Укрепление почтовой безопасности. Внедрение и корректная настройка SPF, DKIM, DMARC, использование современных почтовых шлюзов с анализом вложений и URL, а также sandbox-решений для детонации подозрительных файлов.
2. Ограничение и контроль PowerShell. Включение PowerShell Script Block Logging, запрет исполнения не подписанных скриптов, применение AppLocker или Windows Defender Application Control, мониторинг аномальных PowerShell-команд.
3. Мониторинг планировщика задач. Регулярный аудит новых и измененных задач, корреляция появления задач с действиями пользователей и обновлениями ПО, интеграция этих событий в SIEM.
4. Обучение сотрудников. Практическое обучение распознаванию фишинговых писем, особенно связанных с темами «согласование», «счет», «договор», а также отработка процедур сообщения о подозрительных письмах в ИБ-подразделение.
Организациям, столкнувшимся с подозрительной активностью, имеет смысл сопоставить свои журналы с указанными доменами и почтовыми адресами, а также провести проверку на наличие вредоносных задач в планировщике и аномальных PowerShell-запусков. Подробный технический разбор цепочки атаки и поведений малвари доступен в отчете F6 на платформе Malware Detonation, что может стать отправной точкой для настройки детектирования и укрепления обороны.
